El Estado español tenía de plazo hasta el 17 de diciembre de 2021 para transponer la conocida como Directiva Whistleblowing, pero el Gobierno aplazó el inicio del proceso de transposición hasta el 4 de marzo de 2022 cuando ya la Comisión Europea había abierto a España un expediente sancionador por incumplimiento del plazo fijado para ello.
Concluido el periodo de información pública el Ministerio de Justicia solicitó, con carácter de urgencia, los distintos informes preceptivos para cuya elaboración se concedió poco tiempo pese a la trascendencia de la futura norma. De hecho, la Agencia Española de Protección de Datos (AEPD) hizo constar en su Informe preceptivo 20/2022 la urgencia con la que tuvo que emitirlo:
“(…) procede analizar las principales cuestiones que, en materia de protección de datos personales, suscita el texto remitido, si bien con la concisión propia de la urgencia con la que el mismo se solicita. (…)”
Un informe conciso se caracteriza por la brevedad y exactitud de su contenido, y no por la imprecisión o inexactitud que ahora la propia AEPD ha detectado en su Informe 20/2022, aunque no lo reconozca de manera expresa. El error advertido afecta a la modificación que la AEPD propuso realizar en el artículo 5 del Anteproyecto de Ley, propuesta que el Ministerio de Justicia trasladó literalmente al Proyecto de Ley y cuya redacción se mantuvo inalterada durante su tramitación parlamentaria, quedando finalmente incorporada a la Ley 2/2023, de 20 de febrero, por la que transpuso la citada Directiva.
En consecuencia, y conforme al criterio sentado por la AEPD en su Informe 20/2022, el artículo 5.1 de la Ley 2/2023 dispone que “el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley (…) tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos.”
Desde luego, la norma es clara en lo que a su interpretación literal se refiere; cuestión distinta es que no sea conforme con la normativa reguladora de la protección de datos, como ha venido a aclarar la AEPD en su reciente Informe 54/2023 en estos términos:
“Por consiguiente, partiendo de dichos criterios, y teniendo en cuenta que el artículo 5 resulta de aplicación tanto al sector público como al sector privado, la finalidad perseguida con nuestro Informe 20/2022 era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, pero sin que fuera la intención de atribuir al Consejo de Administración de una sociedad mercantil una responsabilidad respecto del tratamiento de los datos personales en el Sistema interno de información diferenciada respecto de la que corresponde a la propia sociedad con relación a los restantes tratamientos de datos personales conforme al artículo 4.7. del RGPD, ni alterar el régimen de responsabilidad previsto en la normativa sobre protección de datos personales para adecuarlo al régimen de responsabilidad solidaria de los administradores recogido en el artículo 236 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital. (…)
Por todo ello, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.”
Bien está la aclaración aunque se nos ofrezca como un cambio de criterio interpretativo y no como lo que es, la rectificación de un error que, a buen seguro, fue producto de la urgencia y el escaso tiempo de que dispuso la AEPD para emitir su Informe. Ahora bien, el artículo 5.1 la Ley 2/2023 sigue manteniendo su redacción por lo que es deseable que, en breve, sea objeto de modificación para incorporar la rectificación apuntada por la AEPD y otras aportaciones que pueda realizar la futura Autoridad Independiente de Protección al Informante (AAI) para eliminar otros muchos aspectos controvertidos existentes en la norma.
